Новый руткит против серверов на Linux

    Вредоносное ПО, направленное против серверов под управлением Linux, позволяет злоумышленнику внедрить свой код в любую страницу, расположенную на зараженном сервере (включая страницы ошибок).

    Среди специалистов бытует мнение, что руткит затачивался специально под сервера, управляющиеся 64-разрядной версией Debian Squeeze и Nginx.

    Анализ руткита показал, что он осуществляет вставки HTML IFRAME на каждую страницу с зараженного сервера, заменяя код, создающий TCP/IP-пакеты (tcp_sendmsg), своим собственным.

    Руткит, опознанный Лабораторией Касперского как Rootkit.Linux.Snasko.a, считается новинкой. Так как он заражает весь сервер, а не какие-то определенные страницы, он может повлиять на работу десятков и сотен сайтов, заразив, к примеру, сервер хостинг-провайдера.

    По словам специалиста из Crowdstrike, руткит с большой долей вероятности был создан русским хакером, у которого было не так-то много опыта. При этом спец добавляет, что подобный руткит можно успешно использовать в случаях, когда нужно произвести атаку на какую-либо целевую аудиторию и практически не оставить следов.

    via
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 23

      +8
      Дайте подробное описание как это могут сделать, у меня началась паранойя!
        +6
        Подробно есть тут, но тут такое описание, которое я как гуманитарий переведу так, что у вас, помимо паранойи, эпилепсия начнется.

        Но, кстати, там в статье слишком много всяких "Кажется, руткит использует", "Видимо, потом начинается", "Скорее всего, это происходит"… и прочее, видимо, со стопроцентной уверенностью пока что-то трудно сказать.
          +14
          Изучив принцип работы этого «руткита» можно констатировать, что для его запуска нужно скачать его к себе на сервер, дать ему права суперпользователя и запустить от root'а. Как и для большинства вирусов под Linux, могут возникнуть проблемы при его установке, поэтому стоит запастись терпением.

          * К сожалению, ссылку на скачивание и howto по установке не нашел. Распространяться самостоятельно он не умеет, без прав рута не встанет.
          +24
          ждём ебилдов (с)
            +11
            Читаем комменты и убеждаемся какой это злобный руткит, за исключением одного НО: ничего не описано как же руткит _попадает_ на целевую систему (конкретнее комментарии barefoot)
              +9
              Так оно же не червь и не троян. Руткиты ставятся уже после того как злоумышленник получил root-привилегии на сервере.
                +5
                То есть как обычно, никакой простой жизни, нужно еще и локального рута как-то раздобыть.
              +1
              В теории при атаке типа «человек-посередине» такое возможно и заражать сервер с сайтами не обязательно — пакетик изменить вон маршрутизатор может банальным NAT'ом, менять пакетики уровнями выше в принципе тоже никто не мешает.
              с HTTPS начинаются ньюансы
                +5
                Ага — «нюансы». Мелкие такие, незначительные.
                  –2
                  Смею предположить, что если у Вас получится вставить сервер в канал доставки информации между хостинг-оператором и пользователями сайтов данного хостинга и делать такую подмену контента, HTTPS протокол будет не самой важной проблемой в данном случае.
                    0
                    Если он не будет проблемой в этом случае, какого чёрта от вообще тогда нужен?
                      –1
                      Самая важная проблема — внедриться в канал между конечным пользователем и сайтом, хоть это скрипты на поломанном сервере, хоть это прокси или еще какая гадость на клиентских ПК. Если происходит такое внедрение, то какой тип трафика будет изменяться, уже не столь важно — компрометация уже есть, а заметит ли её операционная система, брандмауер, антивирус, броузер или еще какое-то п/о, пользователь или администратор системы — это уже качество проникновения и уровень обслуживания системы — если оно низкое и уровень пользователя/администратора низкий, боюсь, что даже большой значок броузера о неверном(подменённом) сертификате не поможет и данные налево уйдут.
                        +1
                        Можно устроится админом в дата-центр. Не знаю, как там с защитой, но нутро подсказывает, что данные перехватить более, чем реально.

                        Ну а если вы, зайдя на палку, не обращаете внимание на всякого рода предупреждения, то уж извините — ССЗБ.
                          +1
                          Я работал не в одном ISP и видел не один ДЦ. Не поверите, но мне было совсем не до того, чтобы лазить по пользовательским сайтам, рыться в их каталогах и подменять данные.
                          Это слишком точечная атака должна быть. А так — у меня N-тысяч клиентов и энная туча пользовательских запросов, которые чаще всего где-то к полуночи заканчивала разгребать уже пришедшая ночная смена.
                          Ночные тикеты и запланированные акции для них тоже никто не отменял.

                          Хотя это я сознательный, некоторые админы за некоторую сумму… Хотя от таких случаев инсайда тоже есть методы. И это скорее исключение из правил.

                          Опять же, распределение ролей — в отличие от администратора сети, на уровне подмены пакетов я как админ хостинга мало что могу сделать, как минимум по тому что максимум куда я могу включиться — это в физический линк между сервером и коммутатором, а для этого надо знать vlan'ы, по которым бегает траффик и так далее…

                          Недавно рассказывалось на лекии про безопасность Azure — так там вообще просто — контейнер с оборудованием при уходе на определенную сумму мощности, в районе половины — снимался и уходил под пресс.

                          Так что перед тем как минусовать, стоит спросить у автора комментария, на основании чего он выдал свою точку зрения
                +2
                Мне всегда казалось, что руткит это софтинка, которая помогает оставаться незамеченым на взломнном сервере, типа скрытие лишних процессов, подмена файлов их размеров.
                  +1
                  Так и есть, не понимаю такой бурной реакции сообщества. Ведь основный риск по-прежнему заключается в угоне рута.
                    0
                    Вот и я не понимаю, за что мне минусы влепили, если есть вариант компрометации хоста — решение одно — отключение от сети, снятие образа и тотальный аудит на осознание способа взлома машины + отправка авторам п/о описания возможности взлома.
                  +1
                  А тупо подменить nginx не проще чем модуль для ядра колбастить?
                    +1
                    Если машина сломана, можно хоть nginx подменять, хоть модуль ядра, это уже не важно
                      +1
                      Это очевидно. Вопрос, почему авторы руткита решили резать гланды через попу %)
                      0
                      И при первом апдейте наш руткит превратится в тыкву.
                        0
                        А в случае руткита ифрейм с трояном на кажлой странице будет жить вечно и никто ничего не заподозрит :)
                      0
                      О, так это еще они не знают, что таким же образом можно ELF-файл в процессе передачи с сервера в сеть инфицировать вирусом. Или в исходники свою строчку с backdoor-ом добавлять.
                      Офигеть, в этом рутките они даже поддержку chunked-encoding сделали и «Content-Encoding: gzip». Маньяки.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое